2019年12月_ha1vk

原创攻防世界PWN之Nobug题解

Nobug首先，检查一下程序的保护机制PIE和NX没开，那么，我们可以轻松的布置shellcode到栈里或bss段或堆里，然后跳转。免去了泄露libc地址这些。然后，我们用IDA分析一下看似好像这里sprintf不存在漏洞，我们再看看其他函数看见一个很复杂的函数，我们看看那个地址处是什么是查表法，看起来像某种加密或解密算法，又由于不需要秘钥，我们推测可能是b...

2019-12-20 13:17:54 1329

原创攻防世界PWN之Play(条件竞争)题解

Play(条件竞争,多进程共享同一数据区域)首先，检查一下程序的保护机制，很好然后，我们用IDA分析，发现一个很明显的栈溢出漏洞但是，要想执行这个漏洞函数，就必须打赢游戏而，要打赢游戏，就是让*(_DWORD *)(gMonster + 8)的值小于等于0，也就是Host的Surplus要小于等于0然后，我们看到这里有一个修改(gMonster + 8)值的地方...

2019-12-19 15:56:57 1878

原创攻防世界PWN之calc2题解

calc2首先，检查一下程序的保护机制然后，我们用IDA分析一下，发现libc被静态编译进了程序中，又由于没有开启PIE,，所以，我们就直接可以获得需要的函数的地址。然而，我们发现，system、execve这些函数都没有，有没有one_gadget，那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell发现，该程序是一个四则运算表达式计算程序其中，我...

2019-12-12 22:02:45 1097

原创攻防世界PWN之Magic题解

Magic本题知识点，FILE结构体的攻击首先，检查一下程序的保护机制，发现PIE和RELRO没有开启，或许我们可以很方便的修改GOT表然后，我们用IDA分析一下，发现wizard_spell函数存在数组下标向负数越界的漏洞然后是create函数然后，我们用IDA调试一下，发现wizards[-2]处就是log_file的地址，而这句可以修改FILE结构体的第40字...

2019-12-10 17:43:49 1444 1

原创攻防世界PWN之house_of_grey题解

house_of_grey首先，检查一下程序的保护机制,发现保护全开然后，我们用IDA分析一下发现是一个读取文件并显示的程序，除了flag文件，其他文件都可以读取程序有个缓冲区溢出漏洞可以溢出，修改v8指针，然后我们就可以利用功能4，实现任意地址写由于可以读取除了flag之外的文件，那么我们可以读取/proc/self/maps文件Linux 内核提...

2019-12-09 16:44:36 1833

原创 swpuctf2019 Login pwn详细题解

Login这是swpuctf2019的第二道pwn题，主要考点就是非栈上的字符串格式化漏洞利用。首先，我们检查一下程序的保护机制PIE和RELRO没有开启，那么我们可以轻易的利用漏洞修改GOT表我们用IDA分析一下在这里，有一个明显的格式化字符串漏洞，由于s1不是在栈上，而是在bss段里，所以漏洞利用起来会比栈上的字符串格式化漏洞稍微繁琐一些。由于外层是一个死循环，所以...

2019-12-09 15:08:58 1690

原创 swpuctf2019 p1KkHeap 详细题解

p1KkHeap这是swpuctf2019的一题，让我们来详细分析一下本题的知识点:tcache bin，unsorted bin,malloc hook首先，我们检查一下程序的保护机制，发现保护全开然后，我们用IDA分析一下最大允许创建0x100的堆，并且最多有8个堆漏洞点在这里，free后，只把大小置为0，而没有把堆指针置为0，存在UAF漏洞本题，del...

2019-12-08 22:51:58 1473 1

seaaseesa的博客